ngx_lua_waf是乙個基於lua-nginx-module(openresty)的web應用防火牆,對於中小企業或不願購置硬體防火牆的企業的首選,能有效保證**的安全性。
原始碼:0x1 安裝部署
系統版本:centos7 x86_64
安裝依賴包
yum install -y readline-devel pcre-devel openssl-devel
1、openresty的安裝配置
測試啟動nginx
/usr/local/openresty/nginx/sbin/nginx -t
成功啟動nginx顯示如下
nginx: the configuration file /usr/local/openresty-1.9.15.1/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/openresty-1.9.15.1/nginx/conf/nginx.conf test is successful
啟動nginx
/usr/local/openresty/nginx/sbin/nginx
2、配置nginx_lua_waf
git clone .git
將git獲取的檔案放到nginx的conf目錄下
在nginx.conf的http段新增
lua_package_path "/usr/local/openresty/nginx/conf/ngx_lua_waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file /usr/local/openresty/nginx/conf/ngx_lua_waf/init.lua;
access_by_lua_file /usr/local/openresty/nginx/conf/ngx_lua_waf/waf.lua;
配置config.lua裡的waf規則目錄(一般在ngx_lua_waf/wafconf/目錄下)
rulepath = "/usr/local/openresty/nginx/conf/ngx_lua_waf/wafconf"
attacklog = "on"
logdir = "/usr/local/nginx/logs/waf"
3、waf日誌配置
#將nginx.conf首行的」# user nobody;」的」#」注釋去掉,重新啟動nginx服務 user nobody #將防護日誌目錄所屬user和group修改為nobody,目錄許可權可設為700也可以寫入,當然也可以預設
cd /usr/local/nginx/conf
//chown -r nobay.nobady waf
//chmod 700 waf
因為nginx、php模組等是單獨安裝的,所以每次重啟伺服器都需要重啟相應的服務
啟動nginx
cd /usr/local/openresty/nginx/sbin
0x2 nginx_lua_waf測試
啟動php
直接執行/usr/sbin/php-fpm
測試sql注入漏洞
測試結果
測試任意檔案讀取
進行cc***測試
通過檢視waf_logs可以看到waf攔截的所有的***操作
通過waf_logs可以看到無論是sql注入、任意檔案讀取還是cc***都被成功的攔截,waf的部署是成功可靠的!
nginx lua waf安裝測試
ngx lua waf是乙個基於lua nginx module openresty 的web應用防火牆,對於中小企業或不願購置硬體防火牆的企業的首選,能有效保證 的安全性。原始碼 0x1 安裝部署 系統版本 centos7 x86 64 安裝依賴包 yum install y readline d...
nginx lua waf 部署 測試記錄
ngx lua waf是乙個基於lua nginx module openresty 的web應用防火牆 原始碼 系統版本 centos6.5 x86 64 1 openresty的配置 2 配置ngx lua waf git clone git 在nginx.conf的http段新增 lua pa...
mydns安裝測試
mydns安裝測試 mydns安裝測試 公司網域名稱系統幾年來一直通過文字檔案進行管理,效率低,出錯率高。為了改善這種情況,準備通過資料庫對網域名稱進行管理和解析。經過一周多的軟體選型,決定採用mydns 估計幾大虛擬主機服務商均採用此軟體 一 簡介 mydns是乙個unix平台下的免費dns伺服器...